WS-SVC-FWM-1
Serial No. SAD062302U4
例如，刚才我们查看的防火墙模块是在 Mod 4 上，我们就可以输入登陆防火 墙
Router# session slot 4 processor 1
第三步，输入登陆密码默认是 cisco
password:
第四步，输入 enable 密码，默认没有密码
防火墙模块安装配置
防火墙模块安装配置
1 内容介绍
为配合 PICC 项目防火墙模块的安装，此防火墙配置说明文档将对防火墙基 本配置和使用情况进行介绍。
本文章包括防火墙基本性能介绍、安装方法、防火墙配置命令说明等内容， 并通过实例对命令进行一一讲解。
2 防火墙模块介绍
2.1 防火墙模块介绍
Cisco Catalyst® 6500 交换机和 Cisco 7600 系列路由器的防火墙服务模块 （FWSM）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据 传输速率：5Gb 的吞吐量，100000CPS，以及一百万个并发连接。在一个设备中 最多可以安装四个 FWSM，因而每个设备最高可以提供 20Gb 的吞吐量。作为世 界领先的 Cisco PIX 防火墙系列的一部分，FWSM 可以为大型企业和服务供应商 提供无以伦比的安全性、可靠性和性能。
4
防火墙模块安装配置
3.2 确认防火墙模块
安装完防火墙模块后，开启交换机，确认防火墙模块是否被交换机识别。 Cisco IOS software 通过命令 show module 查看防火墙模块状态是否正常
Router> show module
Mod Ports Card Type
Model
--- ----- -------------------------------------- ------------------ -----------
例如：
FWSM(config)# banner motd Welcome to the $(hostname) firewall. FWSM(config)# banner motd Contact me at admin@ for any FWSM(config)# banner motd issues.
安全网络管理
安全的、采用三重数据加密标准 (3DES)加密的网络管理接入
访问控制列表
• 最多支持 128000 条访问控制列表
URL 过滤
在服务器中设定策略，并利用 Websense 软件检查输出的 URL 请求
命令授权
对所有 CLI 设置优先级，创建与这些优先级对应的用户账号或者登录环 境。
对象群组 基本配置命令
配置防火墙模块，主要有 6 个基本命令，他们分别是 nameif、ip address、global、 nat、route、access-list，如果配置了这几个基本命令防火墙就能正常工作了。
能够组合网络对象（例如主机）和服务（例如 ftp 和 http）
防范 DoS
• DNS 保护 • Flood Defender • Flood Guard • TCP 阻截 • 单播反向路径发送 • FragGuard 和虚拟重组
路由
• 静态路由 • 动态；例如路由信息协议（RIP）和开放最短路径优先（OSPF）
FWSM(config)# enable password password
例如：
FWSM(config)#enable password cisco
默认密码无
4.2.2 设置 Hostname
FWSM(config)# hostname name
例如：
FWSM(config)# hostname farscape farscape(config)#
4.2.3 设置 Domain Name
FWSM(config)# domain-name name
例如：
FWSM(config)# domain-name
4.2.4 配置 login banner
设置 banner
FWSM(config)# banner {exec | login | motd} text
Number 这个数字是之前，show module 查看的槽位
Mod Ports Card Type
Model
--- ----- -------------------------------------- ------------------ -----------
4 6 Firewall Module
1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE
2 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45
3 2 Intrusion Detection System
WS-X6381-IDS
4 6 Firewall Module
1
防火墙模块安装配置
FWSM 特性
主要特性
优点
性能
• 5 Gbps • 一百万个并发连接 • 每秒建立和断开超过 10 万个连接
多种接口
• 最多可以支持 100 个防火墙 VLAN--任何 Cisco Catalyst 4000 VLAN 都可以充当防火墙 VLAN • 支持 802.1q 和 ISL 协议
FWSM 采用了 Cisco PIX 技术，并且运行 Cisco PIX 操作系统（OS）--一个 实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的 损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以 提供面向连接的全状态防火墙功能。利用 ASA，FWSM 可以根据源地址和目的 地地址，随机的 TCP 序列号，端口号，以及其他 TCP 标志，为一个会话流创建 一个连接表条目。FWSM 可以通过对这些连接表条目实施安全策略，控制所有 输入和输出的流量。
查看防火墙 vlan-group
Router# show firewall vlan-group Group vlans ----- -----50 55-57 51 70-85 52 100
查看防火墙所关联的 VLAN
Router# show firewall module Module Vlan-groups 5 50,52 8 51,52
Router(config)# firewall vlan-group 50 5,7-10,13,45-100 firewall_group 50 vlan_range 5,7-10,13,45-100
第四步，将 firewall_group 关联到防火墙模块
Router(config)# firewall module module_number vlan-group firewall_group Router(config)# firewall module 4 vlan-group 50
AAA 支持
通过 TACACS＋和 RADIUS 支持，集成常见的身份认证、授权和记帐服务
NAT/PAT 支持
提供动态/静态的网络地址解析（NAT）和端口地址解析（PAT）
Cisco PIX 设备管理器(PDM)
• 简便、直观、基于 Web 的 GUI 可以支持远程防火墙管理 • 多种基于实时数据和历史数据的报告可以提供使用趋势、基本性能和 安全事件等信息
4.2 基本维护命令
4.2.1 修改密码
4.2.1.1 修改 login password
FWSM(config)# {passwd | password} password FWSM (config)#password cisco
8
默认密码是 cisco
防火墙模块安装配置
4.2.1.2 修改 enable password
FWSM >en password: FWSM #
3.4 如何退出防火墙
FWSM# exit Logoff [Connection to 127.0.0.41 closed by foreign host] Router#
3.5 保存配置
在进行配置修改之后，需要保存，可以用命令 write memory
第三步，在 firewall_group 中添加 vlan_range
Router(config)# firewall vlan-group firewall_group vlan_range vlan_range 允许范围是(2 to 1000 and from 1025 to 4094)
7
防火墙模块安装配置
高可用性
状态故障恢复--设备内部和设备之间
日志
全面的系统日志、FTP、URL 和 ACL 日志
其他协议
• H.323 V2 • 基于 IP 的 NetBios
2
防火墙模块安装配置 • RAS 第二版本 • RTSP • SIP • XDMCP • Skinny
3 安装防火墙模块
3.1 安装防火墙模块
如果存在两个防火墙模块，分别是 module 5 和 8 可以进行如下关联
Router(config)# firewall vlan-group 50 55-57 Router(config)# firewall vlan-group 51 70-85 Router(config)# firewall vlan-group 52 100 Router(config)# firewall module 5 vlan-group 50,52 Router(config)# firewall module 8 vlan-group 51,52
WS-SVC-FWM-1
Serial No.